Montréal - Québec - Gatineau - Sherbrooke - Trois-Rivières
Envoyer un courriel à l'auteur

Audit de cybersécurité - Étude de cas pour PME

Il faut être souple dans la définition d’audit de cybersécurité, particulièrement dans le cadre d’un mandat en PME! Notre équipe multidisciplinaire évolue en sécurité et en technologie de l’information depuis plus de 25 ans, nous conseillons les clients pour qu’ils profitent des nouvelles technologies dans le maintien de leur positionnement stratégique. 

Notre mandat d’audit de la cybersécurité auprès d’une PME a comme objectif d’évaluer et de proposer des recommandations sur l’état du périmètre du réseau et de la cybersécurité; d’orienter et de conseiller notre client en matière de bonnes pratiques de l’industrie; et finalement de proposer un plan d’action pour corriger les faiblesses et vulnérabilités retracées et ainsi réduire les risques liés à la cybersécurité.

Étant membre de l’ISACA (Information Systems Audit and Control Association) - Section de Montréal, je cherche à apporter un levier et une plus-value en présentant au client un rapport cohérant et où des recommandations très techniques sont appuyées par des normes de bonnes pratiques et d’où découle le plan d’action.  Cela facilitera la compréhension pour les chefs d’entreprise car pour la PME ce n’est pas toujours une mince affaire! 

Dans ce contexte, nous aurons recours à des guides de bonnes pratiques pour la PME développés par l’ISACA et aux programmes de cybersécurité du National Institue of Standard and Technology (NIST)¹, qui favorisent le développement et l'application de technologies et de méthodologies de sécurité pratiques et innovantes pour l’amélioration des infrastructures critiques de cybersécurité.

En première partie – Utilisation des guides de cybersécurité

Les guides de cybersécurité pour la PME proposés par l’ISACA sont des ressources incontournables.  Ces guides s’alignent au référentiel COBIT 5 tout en adressant les besoins de la PME dont les ressources techniques et les budgets sont souvent limités.

Le guide « Cybersecurity Guidance for Small and Medium-sized Enterprises »² définit d’abord les différentes catégories de PME puis propose 8 principes et 55 clauses d’orientation (exigences/contrôles).  Chacune des clauses reçoit une cote d’audit « Élevé » « Sévère » et « Important » identifiant un niveau de risque de cybersécurité pour une PME, voir Table 1.

Explication des notes d’audit

Cote Explication
Élevé Impact majeur ou risque pour l'entreprise, mettant potentiellement en péril l'existence de l'entreprise. Les impacts et les risques peuvent être financiers, opérationnels, de réputation ou de toute autre nature.
Sévère Impact significatif ou risque pour l'entreprise, avec d'importantes conséquences potentielles au cours de l'exercice
Important Impact ou risque pour l'entreprise qui va au-delà des niveaux tolérés d'impact et de risque, tels que définis par la direction générale

 

Table 1 - Explication des notes d'audit

Chaque exigence est ensuite associée à une des cotes.  La Table 2 présente un exemple de quelques-unes des exigences qui sont ressorties au cours d’un mandat.

 

Exigences de cybersécurité vérifiables

Clause d’orientation sur la cybersécurité (COC) Exigences/Contrôles Cote
1 Règles de gouvernance de cybersécurité documentées Élevé
4 Stratégie de cybersécurité documentée Sévère
11 Procédures documentées et pratiques de gestion Important
21 Inventaire des actifs informationnels documenté/ classification des actifs informationnels, du risque de cybersécurité et les menaces Sévère

 

Table 2 - Exigences de cybersécurité vérifiables

Une fois nos tests et analyses complétés, nous élaborons des recommandations pour les lacunes, faiblesses, ou vulnérabilités retracées et les priorisons de 1 à 3. En établissant une correspondance entre chacune de nos recommandations à une ou plusieurs clauses du guide - voir quelques exemples à la Table 3 - Correspondance des exigences et des recommandations,  nous ajoutons une cohérence au rapport.

 

C.O.C. Exigences/Contrôles Cote Recommandations Priorité
1 Règles de gouvernance de cyber sécurité documentées Élevé R1 2
34 Configuration sécurisée des points d’entrée logiques Élevé R5-R6-R9 1
37 Mécanismes de défense contre les logiciels malveillants Élevé R7 3
38 Mécanismes de défense du périmètre Élevé R3-R4-R5-R6-R9 1
44 Les principes du «besoin d’en connaître» et du «moindre privilège» sont documentés et en évidence Élevé R8 3
4 Stratégie de cybersécurité documentée Sévère R1 1
21 Inventaire des actifs informationnels documenté/ classification des actifs informationnels, du risque de cybersécurité et les menaces Sévère R2 1
23 Identifier les infrastructures critiques, les applicatifs et services critiques ainsi queles services offerts par des tiers qui sont critiques Sévère R2 2
24 L’architecture de cyber sécurité est adéquate en fonction de la taille et complexité de l’entreprise Important R3 2
25 Compétences et aptitudes adéquates du personnel de cybersécurité Important R2 1

 

Table 3 - Correspondance des exigences et des recommandations

Finalement, nous faisons un rapprochement entre les recommandations et priorités proposées aux clauses d’orientation des exigences et contrôles, qui sont les critères d’exigences minimales pour des PME. La Table 4 - Sommaire des recommandations par priorité et cote, est un exemple du résultat obtenu.

 

Priorité Cote No recommandations Recommandations Exigences/Contrôles C.O.C.
1 Élevé R5 Rehaussement et revue de la configuration des routeurs Configuration sécurisée des points d’entrée logiques 34
R6 Mur pare-feu
R9 Protection contre les logiciels malveillants
R3 Complexité du réseau actuel Mécanismes de défense du périmètre 38
R4 Le réseau sans fil
R5-R6-R9 Rehaussement et revue de la configuration des routeurs /Mur pare-feu /Protection contre les logiciels malveillants
2 Élevé R5-R6-R9 Mécanismes permettant de sécuriser les actifs informationnels (appareils/logiciels et applications) 31
2 Sévère R4-R5-R6-R9   Mécanisme de configuration sécurisée pour les périphériques réseau en y incluant les sous-traitants 33
2 Sévère R4-R5-R6-R7-R9   Identifier les vulnérabilités 35
1 Sévère R1 Absence de documentation formelle quant aux principes et politiques de sécurité Stratégie de cybersécurité documentée 4
2 Élevé Règles de gouvernance de cyber sécurité documentées 1
2 Important Procédures documentées et pratiques de gestion 11

 

Table 4 - Sommaire des recommandations par priorité et cote

La Table 4 nous sert de base de travail pour faciliter la discussion et la prise de décision quant au plan d’action pour l’implantation des recommandations proposées et des mesures correctives à apporter aux contrôles internes.

En deuxième partie – mise en place des recommandations et maintien des infrastructures critiques de cybersécurité

Le plan d’action mis en place permettra de maintenir la disponibilité, l’intégrité et la confidentialité des systèmes, en considérant trois grands axes : 1- une bonne gouvernance en alignant les objectifs des TI aux objectifs d’entreprises, 2- une gestion des risques jugés acceptables face à l’atteinte des objectifs établis, et 3- l’utilisation adéquate des ressources de l’entreprise.  Pour réaliser cela, notre méthodologie s’appuiera sur le modèle du NIST pour l’amélioration des infrastructures critiques de cybersécurité de l’entreprise. 

Ce modèle est adaptatif et s’intègre au référentiel et processus de COBIT 5 pour sa mise en œuvre. Basé sur les risques, il est utilisé avec un large éventail de processus qui intègrent les opérations journalières en les regroupant en 5 fonctions tel que présenté à la Figure 1- Fonctions du NIST CSF "Framework Core"

 

Figure cybersécurité

 

Figure 1- Fonctions du NIST CSF "Framework Core"

A haut niveau, ces fonctions permettent :

  • L’identification des actifs critiques de l’entreprise;
  • La protection des données qu’ils détiennent;
  • La détection d’anomalies et d’incidents dans les systèmes;
  • La réaction menant à des actions, des suivis et des améliorations continues aux systèmes et processus lorsque des menaces ou vulnérabilités ont été constatées;
  • Le recouvrement lors d’incidents, les suivis et actions à prendre pour l’amélioration en rétroaction.

Dans cette perspective, la stratégie privilégiée pour sécuriser les systèmes d’information intégrera des mesures permettant de protéger les actifs critiques à un coût raisonnable pour l’entreprise. 

Cette méthodologie qui intègre des pratiques largement utilisées dans l’industrie, est l’essence de notre pratique professionnelle car elle nous permet de bien servir nos clients et de rehausser la sécurité de leurs infrastructures critiques.

Pour plus d’information sur l’audit de cybersécurité, consultez notre site en cliquant sur ce lien

Sources:

[1] NIST, Cybersecurity Framework for Improving Critical Infrastructure Cybersecurity V1.1, USA 2017

[1] ISACA, Cybersecurity Guidance for Small and Medium-sized Enterprises, USA, 2015

ISACA, Implementing Cybersecurity Guidance for Small and Medium-sized Enterprises, USA 2015

ISACA, Transforming Cybersecurity, USA, 2013

(Note de l’auteur – Les guides de cybersécurité dont je fais référence dans cet article ne sont pas disponibles en français, les traductions sont des traductions libres)

Pascal Dominique

Auteure : Pascale Dominique, Co-fondatrice et vice-présidente Finances de ConnecTalk. En plus de ses fonctions au sein de son entreprise, elle réalise des mandats à titre d’analyste et de gestionnaire de projets dans les technologies de l’information

Formation académique :

• Bachelière en administration des affaires, Université du Québec à Montréal (UQAM), 1984 Associations et certifications

• Membre de CPA Canada depuis 1986 elle est CPA-CA

• Membre de l’Information Systems Audit and Control Association (ISACA) depuis 2002 o Certification CISA (Certified Information Systems Auditor) depuis 2006 o Certification CRISC (Certified in Risk and Information Systems Controls) depuis 2011

• Membre du conseil d’administration de l’ISACA-Section de Montréal à titre de Vice-présidente Formation et Certification depuis 2016



OBTENEZ 3 SOUMISSIONS GRATUITES

Vous avez un projet? Laissez nous vous aider!


Obtenez 3 soumissions gratuites pour votre besoins en cybersécurité
Joindre un fichier

Mathieu et son équipe à B2BQuotes font une superbe bonne job de connecter les agences pré-qualifiés avec des personnes ayant des besoins ce qui sauvent du temps et de l'argent. Continuez le bon travail! - Septembre 2017

Marc Lévesque, Co-Fondateur chez Webrunner Media

Source : Google

Service spécialisé ultra efficace. B2Bquotes a bien compris notre projet, et les entreprises qui nous ont été référé étaient toutes pertinentes et professionnelles! - Novembre 2017

Vanessa Blouin, Tel-Jeunes

Source : Google

Super rapide et j'ai reçu 4 soumissions de qualité dans les 24 heures. - Septembre 2017

Directrice Communications et Marketing PMI Montréal

Source : Google

J'adore le concept, j'ai envoyé une soumission et j'ai eu d'excellents candidats qui sont venus sonner à ma porte. J'ai trouvé un freelancer avec qui j'aime travailler et je vais continuer d'utiliser la platforme quand j'aurais besoin d'un autre professionnel. - Septembre 2017

Frédéric Gougeon, Propriétaire Clinique Gougeon

Source : Google
c
COMMENT ÇA FONCTIONNE?
ICÔNE ÉTAPE 1

Vous nous décrivez votre projet

ICÔNE ÉTAPE 2

Nous vous trouvons 3 fournisseurs qualifiés en 48 heures

ICÔNE ÉTAPE 3

Vous comparez les différentes estimations et sauvez du temps et de l'argent

Nombre de projets - 30 derniers jours
154
Nombre de fournisseurs dans notre réseau
978
Délai moyen de réponse
10 minutes